BG Beter Geregeld ICT
AVG & privacy · 2 min leestijd · 21 September 2025 · ★ Pillar-gids

DSGVO-Compliance für KMU: das praktische Minimum

DSGVO kostet nicht €10.000 und erfordert keinen DSB bis zu einer bestimmten Unternehmensgröße. Das ist, was jedes KMU mindestens vorweisen sollte — basierend auf dem, was die Aufsichtsbehörden tatsächlich prüfen.

Die DSGVO (GDPR) gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet. Für ein KMU bedeutet das: alle. Aber daraus muss kein €10k-Beratungsprojekt werden.

Die acht Dinge, die du brauchst

  1. Verarbeitungsverzeichnis — was du verarbeitest, wozu und auf welcher Rechtsgrundlage.
  2. Auftragsverarbeitungsverträge (AVVs) mit jedem Dienstleister, der deine Daten berührt.
  3. Datenschutzerklärung auf deiner Website.
  4. Verfahren für Betroffenenrechte (Auskunft, Berichtigung, Löschung).
  5. Cookie-Einwilligung auf deiner Website.
  6. Verfahren zur Datenpannenmeldung (72-Stunden-Frist).
  7. Aufbewahrungsfristen je Datenkategorie dokumentiert.
  8. Grundlegende Schulung für Mitarbeitende zu Phishing, Passwörtern und Datenweitergabe.

Wann brauchst du einen DSB (Datenschutzbeauftragten)?

  • Behörden und öffentliche Stellen — immer.
  • Kernaktivität ist die umfangreiche Überwachung (Videoüberwachungsunternehmen, Marketing-Tracker).
  • Kernaktivität ist die Verarbeitung „besonderer Kategorien" (Gesundheit, Strafrecht).

Die meisten KMU fallen nicht in diese Kategorien. Wenn du dennoch zur Benennung verpflichtet bist, kannst du einen externen DSB auf Stundenbasis beauftragen.

DSFA: wann?

Eine Datenschutz-Folgenabschätzung (DSFA) ist bei risikoreichen Verarbeitungen erforderlich. Für typische KMU selten nötig — außer wenn du mit Gesundheitsdaten, Biometrie oder umfangreicher Profilbildung arbeitest.

Sanktionsrisiko

Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes betragen. In der Praxis: Die Aufsichtsbehörden gehen seit 2023 auch bei kleinen KMU strenger vor. Häufigste Feststellungen: kein Verarbeitungsverzeichnis, keine AVVs, zu weitreichende Cookies.

Überschneidung mit ISO 27001

Arbeitest du gerade an ISO 27001? Dann ist 40 % der DSGVO-Arbeit bereits erledigt. Umgekehrt gilt das genauso.

Onderwerpen

#mkb #compliance #avg #privacy

Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico

Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

AVG & privacy

IP-Adressen protokollieren unter DSGVO: Pseudonym, personenbezogene Daten – was ist erlaubt?

Eine IP-Adresse gilt unter der DSGVO als personenbezogenes Datum. Security-Logs benötigen sie oft wochenlang oder monatelang. Wie lässt sich das mit den Grundsätzen zur Datenspeicherung vereinbaren?

2 min
AVG & privacy

Aufbewahrungsfristen nach Datenkategorie im KMU

Wie lange darf man Kundendaten, Bewerbungsunterlagen, Rechnungen oder CCTV-Aufnahmen aufbewahren? Die wichtigsten Kategorien auf einen Blick – mit Quellenangabe je Frist.

2 min
AVG & privacy

Marketing-Einwilligung: E-Mail, WhatsApp, Retargeting — was ist noch erlaubt?

Ihr Newsletter, Ihre Angebots-Mails, Ihre Retargeting-Pixel — all das braucht eine Einwilligungsgrundlage. Hier die konkreten Regeln pro Kanal.

2 min
AVG & privacy

Betroffenenrechte: Auskunft, Berichtigung, Löschung — ein praxistaugliches Verfahren

Ein Kunde möchte seine Daten einsehen oder löschen lassen. Sie haben 30 Tage. Hier das Verfahren, das funktioniert — ohne dass eine Anfrage eine halbe Woche verschlingt.

2 min
AVG & privacy

Sub-Auftragsverarbeiter außerhalb der EU: Was das Schrems-II-Urteil noch immer fordert

Nutzt du AWS, Google oder Microsoft? Dann fließen Teile deiner Daten durch die USA. Seit Schrems II ist das nicht mehr ohne Weiteres erlaubt. Hier erfährst du, was jetzt funktioniert.

2 min
AVG & privacy

DPIA — Data Protection Impact Assessment: wann ja, wann nicht?

Eine DPIA klingt nach etwas für große Konzerne. Für KMU ist sie selten nötig — aber in bestimmten Situationen unumgänglich. Hier der Entscheidungsbaum.

2 min
← Alle artikelen in "AVG & privacy"